CN113985831A - 一种工业控制系统状态机构建方法 - Google Patents

Abstract

本发明公开一种工业控制系统状态机构建方法，该工业控制系统状态机构建方法从聚类算法出发，采用最先进的BLOCK‑DBSCAN算法，无论从速度还是准确性都有提高。并且，提出了关于DBSCAN的聚类算法参数的自适应方法，针对工业控制系统可以有效准确的找到最佳匹配参数，让效率大幅提高。然后利用奖罚机制对聚类结果进行再分类，解决了聚类算法无法将高维的协议信息充分分开的问题。最后通过APTA树的构建达到对工业控制系统状态机的构建，解决了对状态机构建的这一难点。本发明工业控制系统状态机构建方法解决了工业控制系统协议状态机的构建问题，对未来工业控制系统入侵检测提供了坚实基础。

Description

一种工业控制系统状态机构建方法

技术领域

本发明的技术方案涉及工业控制技术，具体地说是一种工业控制系统状态机构建方法。

背景技术

有限状态机(finite-state machine，缩写FSM)，又叫有限状态自动机，简称状态机，是能够表示有限个状态以及这些状态之间的转移和动作等行为的数学模型。针对于工业协议控制系统中的应用，又称为协议状态机。

BLOCK-DBSCAN聚类算法是2021年提出的改进DBSCAN算法，相对于现有的聚类算法的优势主要体现在其时间复杂度优势和准确性优势。其使用了覆盖树算法加快了范围查询速度，提出ε/2范围规范球这个聚类判别概念。

工业控制系统由于长期在相对封闭的内网环境中运行，工业控制系统安全常常被忽视。随着网络技术的不断发展和工业互联网的兴起，工业控制系统已经成为网络安全的重灾区。工业监控系统SCADA在设计之初没有考虑到目前的工业控制发展，存在严重的漏洞。工业控制系统由于工作周期、更换设备成本等问题，还在使用老旧的系统和软件设备，由于时间跨度太久导致先验知识的缺失情况时常出现。在工业控制系统中，由于技术问题、人力成本、时间成本等原因，不能由人力实时监控由攻击导致的控制系统状态异常跳变的安全问题。在网络安全层面，协议逆向是近年来研究的一个主要方向。状态机是协议逆向的重要部分，其理论架构极其适合工业控制系统安全研究，但是现阶段的协议分类方法，时间成本较高。

发明内容

针对工业控制安全系统现状，本发明提出一种工业控制系统状态机构建方法，该方法根据协议状态机构建问题提出新的思路，与现有方法时间复杂度和准确率上实现了提高，为工业控制系统状态机异常跳变检测提出理论支撑。

本发明解决该技术问题所采用的技术方案：一种工业控制系统状态机构建方法，其特征在于，该方法包括下述步骤：

第一步，数据预处理

针对二进制协议的特性，选取1bit作为处理单位；处理数据时以每个单位为依据进行切割；将数据的每一个单位作为一个特征，数据长度最大的协议命令得到一个长度为m的序列；以数据长度最大的协议命令为基准，将数据长度不同的协议命令以零位补偿的方式进行基准化处理，一个协议包的n个协议命令经过数据预处理后得到一个n×m的二维矩阵；该二维矩阵里面的元素为高维空间的坐标，抽象图形表示形式为高维空间中的点；

第二步，采用BLOCK-DBSCAN算法对数据进行分类

设置BLOCK-DBSCAN算法参数，其中，ε为近邻区域半径，设定MinPts为以点P为中心、以ε为半径的邻域内点的数量；N_ε(P)为包含点P的以ε为半径的邻域内点的数量，如果N_ε(P)大于Minpts,则P为一个核心点；

将一个协议包的抽象图形通过覆盖树扫描，筛选出满足如下条件的点：

N_ε/2(p)＞＝MinPts (1)

其中N_ε/2(p)表示为以p点为中心、ε/2为半径的近邻域中点的数量，该公式表示为在P点的ε/2近邻域内的样本点数量大于MinPts；设置如下两条定义：

定义1：将所有满足公式(1)的核心点P点命名为内核心点，其余核心点被全部命名为外部核心点；

定义2：对于任意属于内部核心点T的ε/2近邻域内且N_ε/2(Q)＜MinPts的Q点，任意Q点都为一个核心点；

将筛选出来的点进行内核心点和外核心点的分类判别达到聚类判断；

分三种情况处理任意两个内核心点t、q：

(1)当d_q,t＜ε时，直接将t和q合并成一个集群；

(2)当d_q,t＞2ε时，不能将其合并为一个集群；

(3)当ε＜d_q,t＜＝2ε时，较为复杂，引入DBSCAN基本定义进行分类判断：

1)若样本X是Y的ε邻域中的样本，则X由Y密度直达；

2)存在样本序列Y₁,Y₂,...,Y_n，其中Y₁的核心对象为Y，Y_n的核心对象为X，且Y_i+1由Y_i密度直达，则Y由X密度可达；

在当前条件下，t与q为非密度直达，迭代寻找t、q两个内核区域中距离最小的两个点K₁、K₂；如果这两点K₁、K₂满足条件dist(K₁,K₂)＜ε，则t由q密度可达，将两个内核心点t、q合并为一个群集；

对于任意一个外核心点p，识别其ε邻域内的所有边界点是否存在点N与任意内核心点存在密度可达，如果存在则将p、N合并为集群；

对于边界点的划分，如果任意边界点m距离内核心点q较远，d_m，q＞1.5ε，m对于任意内核心点q的临近区域内的点都不符合密度可达；否则需要逐个判别内核心点q的ε/2邻域中每个点是否密度可达，若密度可达则将m与q合并成一个群；

第三步，针对不同工业控制系统数据做自适应参数优化

对一个协议包的抽象图形采用K-平均最近邻算法和数学期望生成ε列表；K-平均最近邻算法即计算数据集中每个数据点与其K个最近邻点之间的平均值，以K为变量对数据集进行遍历得到ε参数列表；对于ε参数列表，依次求出每个ε参数对应的邻域对象数量，求出MinPts，公式为：

式中，P_i为第i个对象的ε邻域对象数量；n为数据集中的对象总数，本实施例为一个协议包的抽象图形中点的个数；

针对得到的ε参数列表和MinPts参数列表，得到相应的聚类数目；聚类数目随着K值的增大而减小，选择聚类数目不小于3且最稳定、最小的取值区间内的最小K值对应的ε参数和MinPts参数，作为第二步中BLOCK-DBSCAN算法的最佳参数；

第四步，引入奖罚机制对聚类结果进行再分类

根据第二步中的分类规则和第三步中获得的最适宜参数对该协议包数据进行分类，得到若干聚类；然后分别对每一个聚类子类中的点所涉及的协议命令进行奖罚遍历，依次选择每一个子类中的点所涉及的协议命令，与该子类中的点所涉及的其它的协议命令依次进行每一位逐一比对，分数奖罚机制如下：

其中，S_i,j表示两个协议命令i、j每一位的原始信息特征进行对比，J表示被对比的序列是否出现0位，P_i,j为两个协议命令的相似度数值；对于同一个子类，P_i,j为固定值；根据每一个协议命令与该子类中的协议命令逐一对比所得的总分，对每一个子类中的协议命令打标签，总分相等的协议命令的标签相同；

第五步，利用APTA树构建工业协议状态机

协议包数据为按发送时间排布的数据阵列，经过第四步处理后，协议包数据中的每一条协议命令均带有标签；首先建立APTA树基础模型，APTA树的节点从根部到枝节为按时间先后；将每个会话协议包数据按发送时间逐条遍历，将该条协议命令的标签与APTA树的对应顺序的节点的标签进行比对，若协议命令的标签与节点标签一致，则将该协议命令更新为当前节点的孩子；若对应时刻点的节点中不存在该协议命令的标签，则在当前节点对应的枝节层中新建一个节点并将该协议命令的标签作为该节点的标签；协议包数据中协议命令经过上述方法进行处理后，得到APTA树型的工业协议状态机。

与有技术相比，本发明有益效果在于：本发明工业控制系统状态机构建方法从聚类算法出发，采用最先进的BLOCK-DBSCAN算法，无论从速度还是准确性都有提高。并且，提出了关于DBSCAN的聚类算法参数的自适应方法，针对工业控制系统可以有效准确的找到最佳匹配参数，让效率大幅提高。然后利用奖罚机制对聚类结果进行再分类，解决了聚类算法无法将高维的协议信息充分分开的问题。最后通过APTA树的构建达到对工业控制系统状态机的构建，解决了对状态机构建的这一难点。本发明工业控制系统状态机构建方法解决了工业控制系统协议状态机的构建问题，对未来工业控制系统入侵检测提供了坚实基础。

附图说明

图1为采用本发明工业控制系统状态机构建方法一种实施例所得的电机控制系统状态机。

图2为本发明工业控制系统状态机构建方法一种实施例的第三步中空间密度随着K值的变化曲线。

图3为本发明工业控制系统状态机构建方法一种实施例的第五步中利用APTA树构建工业协议状态机的流程图(图中的报文即为一条协议命令)。

具体实施方式

下面结合附图与实施例对本发明进一步说明。

本发明提供一种工业控制系统状态机构建方法，该方法包括下述步骤：

第一步，数据预处理

针对二进制协议的特性，选取1bit作为处理单位；处理数据时以每个单位为依据进行切割；将数据的每一个单位作为一个特征，数据长度最大的协议命令得到一个长度为m的序列；以数据长度最大的协议命令为基准，将数据长度不同的协议命令以零位补偿的方式进行基准化处理，一个协议包的n个协议命令经过数据预处理后得到一个n×m的二维矩阵；该二维矩阵里面的元素为高维空间的坐标，抽象图形表示形式为高维空间中的点(即原始信息特征在抽象图形中以点阵的形式表现，零位处在抽象图形中为空白)。

第二步，采用BLOCK-DBSCAN算法对数据进行分类

设置BLOCK-DBSCAN算法参数，其中，ε为近邻区域半径，设定MinPts为以点P为中心、以ε为半径的邻域内点的数量。N_ε(P)为包含点P的以ε为半径的邻域内点的数量，如果N_ε(P)大于Minpts,则P为一个核心点。

将一个协议包的抽象图形通过覆盖树扫描，筛选出满足如下条件的点：

N_ε/2(p)＞＝MinPts (1)

其中N_ε/2(p)表示为以p点为中心、ε/2为半径的近邻域中点的数量，该公式表示为在P点的ε/2近邻域内的样本点数量大于MinPts。设置如下两条定义：

定义1：将所有满足公式(1)的核心点P点命名为内核心点，其余核心点被全部命名为外部核心点。

定义2：对于任意属于内部核心点T的ε/2近邻域内且N_ε/2(Q)＜MinPts的Q点，任意Q点都为一个核心点。

将筛选出来的点进行内核心点和外核心点的分类判别达到聚类判断。

分三种情况处理任意两个内核心点t、q：

(1)当d_q,t＜ε时，直接将t和q合并成一个集群。

(3)当d_q,t＞2ε时，不能将其合并为一个集群。

(3)当ε＜d_q,t＜＝2ε时，较为复杂，引入DBSCAN基本定义进行分类判断：

1)若样本X是Y的ε邻域中的样本，则X由Y密度直达。

2)存在样本序列Y₁,Y₂,...,Y_n，其中Y₁的核心对象为Y，Y_n的核心对象为X，且Y_i+1由Y_i密度直达，则Y由X密度可达。

在当前条件下，t与q为非密度直达，迭代寻找t、q两个内核区域中距离最小的两个点K₁、K₂。如果这两点K₁、K₂满足条件dist(K₁,K₂)＜ε，则t由q密度可达，将两个内核心点t、q合并为一个群集。

对于任意一个外核心点p，识别其ε邻域内的所有边界点是否存在点N与任意内核心点存在密度可达，如果存在则将p、N合并为集群。

对于边界点的划分，如果任意边界点m距离内核心点q较远，d_m，q＞1.5ε，m对于任意内核心点q的临近区域内的点都不符合密度可达。否则需要逐个判别内核心点q的ε/2邻域中每个点是否密度可达，若密度可达则将m与q合并成一个群。

第三步，针对不同工业控制系统数据做自适应参数优化：

针对BLOCK-DBSCAN算法的参数优化，主要是对于ε和Minpts两个参数取值的选择问题。对一个协议包的抽象图形采用K-平均最近邻算法和数学期望生成ε列表。K-平均最近邻算法即计算数据集中每个数据点与其K个最近邻点之间的平均值，以K为变量对数据集进行遍历得到ε参数列表。对于ε参数列表，依次求出每个ε参数对应的邻域对象数量，求出MinPts，公式为：

式中，P_i为第i个对象的ε邻域对象数量；n为数据集中的对象总数，本实施例为一个协议包的抽象图形中点的个数。

针对得到的ε参数列表和MinPts参数列表，得到相应的聚类数目；聚类数目随着K值的增大而减小，选择聚类数目不小于3且最稳定、最小的取值区间内的最小K值对应的ε参数和MinPts参数，作为第二步中BLOCK-DBSCAN算法的最佳参数。

设定空间密度定义：

空间密度Des随着k值的增加而减小，随着空间密度的减小，聚类数目会急剧降低，然后达到一小段平衡，这是由于数据集里存在小密度空间，并且小密度空间是存在距离的，所以当这个聚类到达小密度空间的时候空间密度再有一定程度的减小对聚类数目没有太大的影响，当快要跨过这个小密度空间的时候，聚类数量就会减少，类就会合并。但聚类数目过小则聚类失去意义，所以一般聚类数目不小于3。

图2为一种实施例的聚类数目随着K值的变化曲线，从图中可以看到，k值从9开始聚类结果进入稳定阶段，K为21时对应最佳的DBSCAN参数为最优解。

第四步，引入奖罚机制对聚类结果进行再分类

根据第二步中的分类规则和第三步中获得的最适宜参数对该协议包数据进行分类，得到若干聚类；然后分别对每一个聚类子类中的点所涉及的协议命令进行奖罚遍历，依次选择每一个子类中的点所涉及的协议命令，与该子类中的点所涉及的其它的协议命令依次进行每一位逐一比对，分数奖罚机制如下：

其中，S_i,j表示两个协议命令i、j每一位的原始信息特征(未经过第一步的数据预处理)进行对比，J表示被对比的序列是否出现0位，P_i,j为两个协议命令的相似度数值。对于同一个子类，P_i,j为固定值。根据每一个协议命令与该子类中的协议命令逐一对比所得的总分，对每一个子类中的协议命令打标签，总分相等的协议命令的标签相同。

第五步，利用APTA树构建工业协议状态机

协议包数据为按发送时间排布的数据阵列，经过第四步处理后，协议包数据中的每一条协议命令均带有标签；首先建立APTA树基础模型，APTA树的节点从根部到枝节为按时间先后；将每个会话协议包数据按发送时间逐条遍历，将该条协议命令的标签与APTA树的对应顺序的节点的标签进行比对，若协议命令的标签与节点标签一致，则将该协议命令更新为当前节点的孩子；若对应时刻点的节点中不存在该协议命令的标签，则在当前节点对应的枝节层中新建一个节点并将该协议命令的标签作为该节点的标签；协议包数据中协议命令经过上述方法进行处理后，得到APTA树型的工业协议状态机。

图1为应用本发明一种工业控制系统状态机构建方法所得的一种工业系统状态机，该工业系统主要以风机1为操作主体，分两种控制模式，每种控制模式有不同的控制逻辑。

本发明原理是：将ε和MinPts两个参数进行自适应优化，将优化的参数进行BLOCK-DBSCAN聚类分类操作。构建覆盖树检索内核和外核，针对内核心点的位置关系分为三类。针对这三类分别做出响应。针对外核心点判断与内核心点距离是否大于1.5ε，针对不同状态展开讨论。对符合条件的核心点进行合并，并处理边界点。在聚类算法之后进行子类的赏罚机制进行进一步分类，并对分类结果进行打标签。之后将带标签的数据集进行迭代APTA树，直至数据全部迭代完毕，形成工业系统状态机。

本发明未述及之处适用于现有技术。

Claims (1)

1.一种工业控制系统状态机构建方法，其特征在于，该方法包括下述步骤：

第一步，数据预处理

针对二进制协议的特性，选取1bit作为处理单位；处理数据时以每个单位为依据进行切割；将数据的每一个单位作为一个特征，数据长度最大的协议命令得到一个长度为m的序列；以数据长度最大的协议命令为基准，将数据长度不同的协议命令以零位补偿的方式进行基准化处理，一个协议包的n个协议命令经过数据预处理后得到一个n×m的二维矩阵；该二维矩阵里面的元素为高维空间的坐标，抽象图形表示形式为高维空间中的点；

第二步，采用BLOCK-DBSCAN算法对数据进行分类

设置BLOCK-DBSCAN算法参数，其中，ε为近邻区域半径，设定MinPts为以点P为中心、以ε为半径的邻域内点的数量；N_ε(P)为包含点P的以ε为半径的邻域内点的数量，如果N_ε(P)大于Minpts,则P为一个核心点；

将一个协议包的抽象图形通过覆盖树扫描，筛选出满足如下条件的点：

N_ε/2(p)＞＝MinPts (1)

其中N_ε/2(p)表示为以p点为中心、ε/2为半径的近邻域中点的数量，该公式表示为在P点的ε/2近邻域内的样本点数量大于MinPts；设置如下两条定义：

定义1：将所有满足公式(1)的核心点P点命名为内核心点，其余核心点被全部命名为外部核心点；

定义2：对于任意属于内部核心点T的ε/2近邻域内且N_ε/2(Q)＜MinPts的Q点，任意Q点都为一个核心点；

将筛选出来的点进行内核心点和外核心点的分类判别达到聚类判断；

分三种情况处理任意两个内核心点t、q：

(1)当d_q,t＜ε时，直接将t和q合并成一个集群；

(2)当d_q,t＞2ε时，不能将其合并为一个集群；

(3)当ε＜d_q,t＜＝2ε时，较为复杂，引入DBSCAN基本定义进行分类判断：

1)若样本X是Y的ε邻域中的样本，则X由Y密度直达；

2)存在样本序列Y₁,Y₂,...,Y_n，其中Y₁的核心对象为Y，Y_n的核心对象为X，且Y_i+1由Y_i密度直达，则Y由X密度可达；

在当前条件下，t与q为非密度直达，迭代寻找t、q两个内核区域中距离最小的两个点K₁、K₂；如果这两点K₁、K₂满足条件dist(K₁,K₂)＜ε，则t由q密度可达，将两个内核心点t、q合并为一个群集；

对于任意一个外核心点p，识别其ε邻域内的所有边界点是否存在点N与任意内核心点存在密度可达，如果存在则将p、N合并为集群；

对于边界点的划分，如果任意边界点m距离内核心点q较远，d_m，q＞1.5ε，m对于任意内核心点q的临近区域内的点都不符合密度可达；否则需要逐个判别内核心点q的ε/2邻域中每个点是否密度可达，若密度可达则将m与q合并成一个群；

第三步，针对不同工业控制系统数据做自适应参数优化

对一个协议包的抽象图形采用K-平均最近邻算法和数学期望生成ε列表；K-平均最近邻算法即计算数据集中每个数据点与其K个最近邻点之间的平均值，以K为变量对数据集进行遍历得到ε参数列表；对于ε参数列表，依次求出每个ε参数对应的邻域对象数量，求出MinPts，公式为：

式中，P_i为第i个对象的ε邻域对象数量；n为数据集中的对象总数，即一个协议包的抽象图形中点的个数；

针对得到的ε参数列表和MinPts参数列表，得到相应的聚类数目；聚类数目随着K值的增大而减小，选择聚类数目不小于3且最稳定、最小的取值区间内的最小K值对应的ε参数和MinPts参数，作为第二步中BLOCK-DBSCAN算法的最佳参数；

第四步，引入奖罚机制对聚类结果进行再分类

根据第二步中的分类规则和第三步中获得的最适宜参数对该协议包数据进行分类，得到若干聚类；然后分别对每一个聚类子类中的点所涉及的协议命令进行奖罚遍历，依次选择每一个子类中的点所涉及的协议命令，与该子类中的点所涉及的其它的协议命令依次进行每一位逐一比对，分数奖罚机制如下：

其中，S_i,j表示两个协议命令i、j每一位的原始信息特征进行对比，J表示被对比的序列是否出现0位，P_i,j为两个协议命令的相似度数值；对于同一个子类，P_i,j为固定值；根据每一个协议命令与该子类中的协议命令逐一对比所得的总分，对每一个子类中的协议命令打标签，总分相等的协议命令的标签相同；

第五步，利用APTA树构建工业协议状态机

协议包数据为按发送时间排布的数据阵列，经过第四步处理后，协议包数据中的每一条协议命令均带有标签；首先建立APTA树基础模型，APTA树的节点从根部到枝节为按时间先后；将每个会话协议包数据按发送时间逐条遍历，将该条协议命令的标签与APTA树的对应顺序的节点的标签进行比对，若协议命令的标签与节点标签一致，则将该协议命令更新为当前节点的孩子；若对应时刻点的节点中不存在该协议命令的标签，则在当前节点对应的枝节层中新建一个节点并将该协议命令的标签作为该节点的标签；协议包数据中协议命令经过上述方法进行处理后，得到APTA树型的工业协议状态机。

Images